Ako chrániť peniaze a osobné údaje na internete

2024 Autor: Malcolm Clapton | [email protected]. Naposledy zmenené: 2023-12-17 04:09

Čím lepšie ste informovaní, tým ťažšie je vás oklamať. Tu je všetko, čo potrebujete vedieť o phishingu so spoločnosťou Microsoft.

Nájdite ešte viac tipov, ako sa chrániť pred digitálnymi hrozbami.

Čo je to phishing a aké nebezpečné je

Phishing je bežný typ kybernetického podvodu, ktorého účelom je kompromitovať a ukradnúť účty, ukradnúť informácie o kreditných kartách alebo akékoľvek iné dôverné informácie.

Kyberzločinci najčastejšie využívajú e-mail: napríklad posielajú listy v mene známej spoločnosti a lákajú používateľov na jej falošnú webovú stránku pod zámienkou výhodnej propagácie. Obeť falzifikát nespozná, zadá prihlasovacie meno a heslo zo svojho účtu, a tak sám používateľ odovzdá údaje podvodníkom.

Každý môže trpieť. Automatizované phishingové e-maily sú najčastejšie zamerané na široké publikum (státisíce až milióny adries), no existujú aj útoky zamerané na konkrétny cieľ. Najčastejšie sú týmito cieľmi vrcholoví manažéri alebo iní zamestnanci, ktorí majú privilegovaný prístup k firemným dátam. Táto personalizovaná phishingová stratégia sa nazýva lov veľrýb, čo sa prekladá ako „chytanie veľrýb“.

Následky phishingových útokov môžu byť zničujúce. Podvodníci môžu čítať vašu osobnú korešpondenciu, posielať phishingové správy okruhu vašich kontaktov, vyberať peniaze z bankových účtov a vo všeobecnosti konať vo vašom mene v širšom zmysle. Ak podnikáte, riziko je ešte väčšie. Phisheri sú schopní ukradnúť firemné tajomstvá, zničiť citlivé súbory alebo uniknúť dáta vašich zákazníkov a poškodiť tak reputáciu spoločnosti.

Podľa správy o trendoch phishingovej aktivity pracovnej skupiny Anti-Phishing len v poslednom štvrťroku 2019 odborníci na kybernetickú bezpečnosť objavili viac ako 162 000 podvodných webových stránok a 132 000 e-mailových kampaní. Počas tejto doby sa obeťou phishingu stalo asi tisíc spoločností z celého sveta. Zostáva zistiť, koľko útokov nebolo zistených.

Vývoj a typy phishingu

Pojem „phishing“pochádza z anglického slova „fishing“. Tento typ podvodu skutočne pripomína rybolov: útočník hodí návnadu vo forme falošnej správy alebo odkazu a čaká, kým používatelia uhryznú.

Ale v angličtine sa phishing píše trochu inak: phishing. Namiesto písmena f sa používa digraf ph. Podľa jednej verzie ide o odkaz na slovo falošný ("podvodník", "podvodník"). Na druhej strane - do subkultúry prvých hackerov, ktorí sa nazývali phreakers ("phreakers").

Predpokladá sa, že termín phishing bol prvýkrát verejne použitý v polovici 90. rokov v diskusných skupinách Usenet. Podvodníci v tom čase spustili prvé phishingové útoky zamerané na zákazníkov amerického poskytovateľa internetu AOL. Útočníci posielali správy so žiadosťou o potvrdenie svojich poverení, pričom sa vydávali za zamestnancov spoločnosti.

S rozvojom internetu sa objavili nové typy phishingových útokov. Podvodníci začali falšovať celé webové stránky a ovládali rôzne kanály a komunikačné služby. Dnes je možné takéto typy phishingu rozlíšiť.

• E-mailový phishing. Podvodníci si zaregistrujú poštovú adresu podobnú adrese známej spoločnosti alebo známeho vybranej obete a posielajú z nej listy. Zároveň podľa mena odosielateľa, dizajnu a obsahu môže byť falošný list takmer totožný s originálom. Len vo vnútri je odkaz na falošnú stránku, infikované prílohy či priama žiadosť o zaslanie dôverných údajov.
• SMS phishing (smishing). Táto schéma je podobná predchádzajúcej, ale namiesto e-mailu sa používa SMS. Účastník dostane správu z neznámeho (zvyčajne krátkeho) čísla so žiadosťou o dôverné údaje alebo s odkazom na falošnú stránku. Útočník sa môže napríklad predstaviť ako banka a vyžiadať si overovací kód, ktorý ste dostali predtým. V skutočnosti podvodníci potrebujú kód na preniknutie do vášho bankového účtu.
• Phishing na sociálnych sieťach. S rozširovaním instant messengerov a sociálnych médií zaplavili phishingové útoky aj tieto kanály. Útočníci vás môžu kontaktovať prostredníctvom falošných alebo kompromitovaných účtov známych organizácií alebo vašich priateľov. Inak sa princíp útoku nelíši od predchádzajúcich.
• Telefónne phishing (vising). Podvodníci sa neobmedzujú len na textové správy a môžu vám zavolať. Najčastejšie sa na tento účel využíva internetová telefónia (VoIP). Volajúci sa môže vydávať napríklad za pracovníka podpornej služby vášho platobného systému a vyžiadať si údaje na prístup do peňaženky – vraj na overenie.
• Hľadať phishing. Na phishing môžete naraziť priamo vo výsledkoch vyhľadávania. Stačí kliknúť na odkaz, ktorý vedie na falošnú stránku a nechať na nej osobné údaje.
• Pop-up phishing. Útočníci často používajú vyskakovacie okná. Pri návšteve pochybného zdroja sa vám môže zobraziť banner, ktorý sľubuje nejakú výhodu – napríklad zľavy alebo bezplatné produkty – v mene známej spoločnosti. Kliknutím na tento odkaz sa dostanete na stránku kontrolovanú počítačovými zločincami.
• Poľnohospodárstvo. Nie je to priamo spojené s phishingom, ale farmárčenie je tiež veľmi častým útokom. V tomto prípade útočník sfalšuje údaje DNS tým, že používateľa automaticky presmeruje namiesto pôvodných stránok na falošné. Obeť nevidí žiadne podozrivé správy a transparenty, čo zvyšuje efektivitu útoku.

Phishing sa neustále vyvíja. Microsoft hovoril o nových technikách, ktoré v roku 2019 objavila jeho antiphishingová služba Microsoft 365 Advanced Threat Protection. Podvodníci sa napríklad naučili lepšie maskovať škodlivé materiály vo výsledkoch vyhľadávania: v hornej časti sa zobrazujú legitímne odkazy, ktoré používateľa vedú na phishingové stránky prostredníctvom viacerých presmerovaní.

Kyberzločinci navyše začali automaticky generovať phishingové odkazy a presné kópie e-mailov na kvalitatívne novej úrovni, čo im umožňuje efektívnejšie klamať používateľov a obchádzať bezpečnostné opatrenia.

Microsoft sa zase naučil identifikovať a blokovať nové hrozby. Spoločnosť využila všetky svoje znalosti o kybernetickej bezpečnosti na vytvorenie balíka Microsoft 365. Poskytuje riešenia, ktoré potrebujete pre svoje podnikanie, pričom zaisťuje účinnú ochranu vašich informácií, a to aj pred phishingom. Microsoft 365 Advanced Threat Protection blokuje škodlivé prílohy a potenciálne škodlivé odkazy v e-mailoch, zisťuje ransomvér a iné hrozby.

Ako sa chrániť pred phishingom

Zlepšite svoju technickú gramotnosť. Ako sa hovorí, kto je vopred varovaný, je ozbrojený. Naštudujte si informačnú bezpečnosť sami alebo sa poraďte s odborníkmi. Dokonca aj dobré znalosti základov digitálnej hygieny vám môžu ušetriť veľa problémov.

Buď opatrný. Nesledujte odkazy ani neotvárajte prílohy v listoch od neznámych partnerov. Pozorne si skontrolujte kontaktné údaje odosielateľov a adresy navštívených stránok. Neodpovedajte na žiadosti o osobné údaje, aj keď správa vyzerá dôveryhodne. Ak vás zástupca spoločnosti požiada o informácie, je lepšie zavolať na ich call centrum a nahlásiť situáciu. Neklikajte na kontextové okná.

Používajte heslá rozumne. Pre každý účet použite jedinečné a silné heslo. Prihláste sa na odber služieb, ktoré varujú používateľov, ak sa heslá k ich účtom objavia na webe, a okamžite zmeňte prístupový kód, ak sa ukáže, že bol prezradený.

Nastavte si viacfaktorové overenie. Táto funkcia dodatočne chráni účet napríklad pomocou jednorazových hesiel. V tomto prípade budete musieť pri každom prihlásení do účtu z nového zariadenia okrem hesla zadať aj štvor- alebo šesťmiestny kód, ktorý vám pošleme prostredníctvom SMS alebo vygenerujete v špeciálnej aplikácii. Možno sa to nezdá veľmi pohodlné, ale tento prístup vás ochráni pred 99 % bežných útokov. Ak totiž podvodníci heslo ukradnú, bez overovacieho kódu sa aj tak nedostanú.

Používajte prihlasovacie zariadenia bez hesla. Ak je to možné, v týchto službách by ste mali úplne opustiť používanie hesiel a nahradiť ich hardvérovými bezpečnostnými kľúčmi alebo autentifikáciou prostredníctvom aplikácie v smartfóne.

Používajte antivírusový softvér. Aktuálny antivírus čiastočne pomôže chrániť váš počítač pred škodlivým softvérom, ktorý presmeruje na phishingové stránky alebo kradne prihlasovacie údaje a heslá. Pamätajte však, že vašou hlavnou ochranou je stále dodržiavanie pravidiel digitálnej hygieny a dodržiavanie odporúčaní v oblasti kybernetickej bezpečnosti.

Ak podnikáte

Nasledujúce tipy budú užitočné aj pre majiteľov firiem a manažérov spoločností.

Vyškoliť zamestnancov. Vysvetlite podriadeným, akým správam sa majú vyhýbať a aké informácie by sa nemali posielať e-mailom a inými komunikačnými kanálmi. Zakázať zamestnancom používať firemnú poštu na osobné účely. Poučte ich, ako pracovať s heslami. Za zváženie stojí aj politika uchovávania správ: napríklad z bezpečnostných dôvodov môžete vymazať správy staršie ako určité obdobie.

Vykonávajte tréningové phishingové útoky. Ak chcete otestovať reakciu svojich zamestnancov na phishing, skúste predstierať útok. Zaregistrujte si napríklad poštovú adresu podobnú tej vašej a posielajte z nej listy podriadeným so žiadosťou, aby vám poskytli dôverné údaje.

Vyberte si spoľahlivú poštovú službu. Poskytovatelia bezplatných e-mailových služieb sú príliš zraniteľní voči obchodnej komunikácii. Spoločnosti by si mali vyberať len bezpečné firemné služby. Napríklad používatelia poštovej služby Microsoft Exchange, ktorá je súčasťou balíka Microsoft 365, majú komplexnú ochranu pred phishingom a inými hrozbami. S cieľom čeliť podvodníkom analyzuje Microsoft každý mesiac stovky miliárd e-mailov.

Najmite si odborníka na kybernetickú bezpečnosť. Ak to váš rozpočet dovoľuje, nájdite kvalifikovaného odborníka, ktorý vám zabezpečí nepretržitú ochranu pred phishingom a inými kybernetickými hrozbami.

Čo robiť, ak ste obeťou phishingu

Ak existuje dôvod domnievať sa, že sa vaše údaje dostali do nesprávnych rúk, okamžite konajte. Skontrolujte, či sa na vašich zariadeniach nenachádzajú vírusy a zmeňte heslá účtov. Informujte zamestnancov banky, že vaše platobné údaje mohli byť odcudzené. V prípade potreby informujte zákazníkov o možnom úniku.

Aby sa takéto situácie neopakovali, vyberte si spoľahlivé a moderné služby spolupráce. Produkty so vstavanými ochrannými mechanizmami sú najvhodnejšie: bude to fungovať čo najpohodlnejšie a nebudete musieť riskovať digitálnu bezpečnosť.

Microsoft 365 napríklad obsahuje celý rad inteligentných bezpečnostných funkcií vrátane ochrany účtov a prihlásení pred kompromitáciou pomocou vstavaného modelu hodnotenia rizika, bezheslového alebo viacfaktorového overovania, ktoré nevyžaduje ďalšie licencie.

Okrem toho služba poskytuje dynamickú kontrolu prístupu s hodnotením rizík a zohľadňovaním širokého spektra podmienok. Microsoft 365 tiež obsahuje vstavanú automatizáciu a analýzu údajov a tiež vám umožňuje ovládať zariadenia a chrániť informácie pred únikom.